¿Vale la pena verificar los ISO descargados del sitio web oficial?

37

Descargué el ISO de https://www.ubuntu.com/download , seleccionando la opción predeterminada "Ubuntu Desktop".

El sitio web enlaza la página https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu que da instrucciones sobre cómo verificar ubuntu.

Esto parece bastante tedioso, y me pregunto qué tan realista es que haya un problema con ISO descargado del sitio web oficial. Observo que el proceso de verificación en sí mismo requiere que descargue un software nuevo para mí, por lo tanto, introduzco otro vector de ataque incluso cuando estoy cerrando otro.

Por lo que vale, estoy planeando usar Live USB solo y no instalar completamente Ubuntu. Eso hace una diferencia?

user1205901 - Restablecer Monica
fuente
8
Mi respuesta política es "SÍ HAZLO". Nunca lo he hecho, excepto tal vez una vez en la primera descarga hace muchas lunas. Siempre estoy descargando y evaluando software o parches / correcciones de errores y simplemente no puedo molestarme con los pasos adicionales. Además, mis sistemas no son de producción y si mañana se "arruinan", me encogería de hombros y seguiría adelante.
WinEunuuchs2Unix
14
Torrent es una alternativa, si no quieres comprobar el md5sum. Cuando obtiene un archivo a través de torrent, se verificará automáticamente :-) A menudo es más rápido usar el método torrent (en comparación con las descargas normales), pero algunos proveedores de servicios de Internet lo bloquean porque piensan que solo se usa con fines ilegales .
sudodus
2
El uso principal de las sumas de comprobación MD5 sobre archivos grandes es garantizar la integridad del archivo descargado (por ejemplo, detectar si la transferencia se cancela prematuramente), no mitigar la posibilidad de ataques MITM.
rexkogitans
1
@rackandboneman No, esa no es la pregunta subyacente en absoluto.
David Richerby
16
Dato curioso: probablemente pasarás más tiempo haciendo esta pregunta que calculando sumas de verificación en toda tu vida.
el.pescado

Respuestas:

57

Sí, vale la pena.

Solo lleva unos segundos obtener md5sum / etc un ISO descargado, y proporciona la seguridad de que MITM no lo atacó, etc. persiguiendo errores que nadie más obtiene debido a su descarga (por ejemplo, tiene problemas de red y, por lo tanto, intente depurar; pero la red está llena porque eso es lo que eran los pocos bits incorrectos ...) Piense en las comprobaciones de verificación como un seguro muy barato.

El software necesario para md5sum algo será generalmente de otra fuente (una versión anterior, incluso en ocasiones con un sistema operativo / distribución diferente), es muy pequeño y ya está presente para muchos / la mayoría de nosotros.

Además, me permite descargar desde un espejo local, pero porque tomo el md5sum de la fuente canónica; Tengo seguro de que el espejo no jugó con él. De nuevo, un seguro muy barato que me cuesta ~ 3 segundos de tiempo.

guiverc
fuente
12
Sin embargo, si la descarga utilizó el método de transferencia HTTPS, entonces todas las comprobaciones de integridad ya se han realizado.
Nayuki
15
@Nayuki, estas verificaciones de integridad no valdrían nada si el archivo está dañado de alguna manera en el servidor (falla del disco / controlador FS, mala duplicación, etc.).
Ruslan
66
@Nayuki El hecho de que esté accediendo a un sitio web a través de HTTPS no significa que todo el enlace desde su PC al almacenamiento que contiene el archivo que está descargando esté encriptado de extremo a extremo. Vea la debacle de los enlaces del centro de datos de Google hace algunos años.
un CVn
30
Si alguien tiene MITM'd el ISO, ¿de quién decir que no MITM la suma de verificación cuando lo vio en el sitio web? (Si está utilizando un espejo, es útil). No es demasiado raro ver la suma de comprobación y la descarga que se sirve desde la misma entidad.
Lan
14
NUNCA asuma que una suma de verificación detectará MitM. Las sumas de verificación dadas también podrían ser falsas. La forma correcta es verificar la firma , pero eso requiere GPG (solo he hecho esto una vez y es difícil de hacer).
Micheal Johnson el
21

Sí, es MUY RECOMENDABLE que verifique la imagen que descargó, aquí hay algunas razones:

  • Solo toma unos segundos y puedo decirle si la integridad del archivo es correcta, es decir, el archivo no está dañado. (Una causa común de corrupción es un error de transferencia debido a razones técnicas, como una conexión a Internet débil debido al comentario de @sudodus).
  • Si el archivo está dañado y graba esta imagen ISO en una unidad de CD / USB, y no funciona, o durante una instalación podría fallar, esto resulta en una pérdida de tiempo y CD.
  • Está seguro de que está utilizando la versión oficial CLEAN de cualquier tipo de imagen ISO o software y no una versión modificada (tal vez por atacantes), vea este informe: piratas de Watch Dogs golpeados por el escorbuto malware de minería Bitcoin

Si ya tiene una distribución GNU Linux, puede usar md5sum , si está en Windows puede usar: WinMD5Free .

Espero eso ayude.

galoget
fuente
3
Para Windows puede usar el incorporado certutil: superuser.com/a/898377/521689
Kanchu
1
También respondí, pero estoy votando su respuesta porque siento que también responde bien a la pregunta y es útil para más lectores, ya que no entra en detalles demasiado técnicos como las otras respuestas.
bitooleano
@sudodus Networks tiene sus propias verificaciones de integridad. Si bien no es imposible que los errores los superen (TCP solo usa una suma de verificación simple, que no detectará el intercambio de palabras, pero la mayoría de los enlaces usan CRC), no es algo de lo que generalmente se preocupe.
Barmar
Sin embargo, si un atacante puede dañar un archivo, cambiar el valor en un cuadro MD5 también debería estar al alcance.
Pascal Engeler
2

Sí, lo es, pero Ubuntu parece hacerlo más difícil de lo que debería ser.

En el mejor de los casos, debe descargar foo.iso y foo.iso.sig y hacer clic en el archivo .sig (o usar gpg en el shell del archivo .sig) después de importar la clave una vez. Esto cuesta unos segundos.

Ubuntu parece complicarlo más al obligarlo a verificar las sumas sha256 de un archivo mientras solo el archivo está firmado. Eso es conveniente para ellos, pero más trabajo para sus usuarios.

Por otro lado, cuando el archivo fue generado solo por sha256sum * >SHA256SUMS, puede verificarlo usando sha256 -cy obtener OK/Bad/Not-Foundcomo salida.

allo
fuente
2

Revisar su /proc/net/dev y vea cuántas tramas TCP incorrectas ha recibido hasta ahora. Si ve un valor de un solo dígito (con suerte un cero), siga leyendo. Si tiene lotes o errores de red, entonces utilice MD5 para verificar sus descargas (aunque preferiría investigar la causa raíz, ya que una red poco confiable significa que no puede confiar en nada que reciba a través de HTTP).

Cuando está descargando a través de TCP, que suma sumas de verificación de todos los datos transmitidos, hay muy pocas posibilidades de tener una descarga corrupta con exactamente el mismo tamaño. Si está seguro de que está descargando desde el sitio oficial (normalmente lo está haciendo si está usando HTTPS y la verificación del certificado se aprueba), verificar que su descarga esté completa normalmente es suficiente. Los navegadores web decentes generalmente hacen la verificación por usted de todos modos, diciendo algo similar a "error de descarga" si no obtienen la cantidad de datos que esperan, aunque he visto navegadores que simplemente deciden mantener el archivo incompleto sin decir nada para el usuario, en cuyo caso puede verificar el tamaño del archivo manualmente.

Por supuesto, verificar una suma de verificación aún tiene su valor, cubriéndolo en los casos en que el archivo que está descargando está dañado en el servidor, pero eso no sucede con demasiada frecuencia. Aún así, si vas a usar tu descarga para algo importante, vale la pena dar un paso.

Como @sudodus dijo en los comentarios, usar Bittorrent en lugar de HTTPS es otra opción, ya que los clientes de torrent hacen un trabajo mucho mejor al tratar con datos incompletos / corruptos como lo hacen los navegadores web.

Tenga en cuenta que las sumas de verificación realmente no evitan que sea atacado, para eso es HTTPS.

Dmitry Grigoryev
fuente
55
La suma de comprobación TCP no es lo suficientemente grande para algo tan grande como un archivo ISO. Son solo 16 bits; En un enlace ruidoso, hay una buena posibilidad de que haya algo de corrupción.
Marque el
1
@Mark para un ISO grande, habrá muchas sumas de verificación TCP: una para cada segmento TCP individual requerido para transmitir los datos.
Anthony G - justicia para Monica
3
@AnthonyGeoghegan, exactamente. Cada segmento tiene una posibilidad independiente de corromperse, y dada la cantidad de segmentos involucrados en un archivo ISO, existe una gran posibilidad de que uno de ellos se corrompa de una manera que aún coincida con la suma de comprobación de ese segmento.
Mark
1
@ Mark, ¿puede verificar su / proc / net / dev y decir cuántas tramas TCP incorrectas ha recibido? Mi computadora tiene 0, con un tiempo de actividad de 140 días. Si no me equivoco, el equipo certificado Gigabit Ethernet proporciona una tasa de error de 10 ^ -10 o mejor. Por supuesto, todo depende de lo que llamas una "buena oportunidad" ...
Dmitry Grigoryev
1
@ Mark ¿Qué tipo de capa 2 está utilizando que no tiene un CRC o similar? Con ethernet obtienes comprobaciones CRC y la suma de comprobación TCP. No he hecho los cálculos para eso, pero no puedo ver cómo llegas a "buenas posibilidades" allí.
Voo
0

Descubrí el camino difícil sobre no verificar el resumen. Grabaría un CD con un ISO que se corrompió durante una descarga, y no pude arrancarlo o tenía errores al ejecutarlo.

Como dijeron los demás, lleva poco tiempo.

fixit7
fuente
Lo peor de esa experiencia es que si vuelves a grabar el ISO, obtienes el mismo error en el CD
thomasrutter
1
Por eso uso CD y DVD RW. :-)
fixit7
77
Nunca he escrito ningún CD / DVD por más de una década. No vale la pena escribir y cuesta comprar cuando hay toneladas de pendrives baratos
phuclv
0

Lo está viendo con un solo caso de uso, en una configuración con automatización masiva, ayuda a verificarlo; scripts que ejecutan la verificación, antes de continuar con lo que sea que necesitemos hacer con la imagen

ajax_velu
fuente
0

Los otros me dieron respuestas con detalles técnicos que olvidé aunque soy un programador (mi trabajo no involucra la comunicación a través de redes), así que solo voy a contarles una experiencia personal.

Hace mucho tiempo, cuando solía grabar CD con frecuencia, una vez se me ocurrió haber descargado este ISO de distribución de Linux que parecía haberse descargado correctamente. El CD me falló, así que verifiqué el archivo descargado y no coincidía. Entonces, descargué nuevamente y funcionó. Entonces, esto solo sucedió una vez en 15 años desde que era un usuario avanzado de computadoras y programación (he estado usando computadoras desde la edad de 11 años, hace 19 años, y he quemado más de mil discos). Pero es una prueba de que puede suceder.

También me sucedió a través de BitTorrent una o dos veces, por lo que tampoco es a prueba de fallas. Al forzar la revisión del archivo descargado, identificó la pieza corrupta.

Mi conclusión es que HTTP (confiar en TCP) puede ser tan seguro como sea posible, pero Internet significa que hay nodos intermedios entre su dispositivo y el servidor, y no se sabe qué puede suceder en el camino (los paquetes incluso se pierden todos tiempo), y a veces las computadoras no pueden decir que los datos están mal, supongo.

Nadie puede responder si valdría la pena para usted: depende del contexto y estoy seguro de que puede juzgarlo usted mismo. Para mí, no vale la pena la mayor parte del tiempo. Sin embargo, si iba a instalar un sistema operativo, verificaría la imagen descargada antes.

Nota: el hecho de que solo una o dos veces noté una descarga corrupta no significa que solo sucedió en ese momento. Tal vez otras veces no se interponga en el camino para que no te des cuenta.

EDITAR: Incluso hice que otros programadores más experimentados en el trabajo argumentaran (incluso con bastante indignación) que estos hashes de verificación de integridad de datos hacen posible saber si un archivo es un poco idéntico al original, pero sé (he leído) que El hecho de que dos archivos den como resultado el mismo hash no significa que sean idénticos, solo significa que es extremadamente improbable que sean diferentes. La forma en que son útiles es que cuando los archivos no son idénticos, y especialmente cuando son muy diferentes, sus códigos hash resultantes prácticamente nunca serán los mismos (es incluso menos probable que esta prueba falle). En menos palabras: si los códigos hash son diferentes, sabrá que los archivos son diferentes.

bitooleano
fuente